Microsoft setzt Belohnung für neue Meltdown- und Spectre-Bugs aus

Microsoft hat ein neues Belohnungsprogramm für Sicherheitslecks aufgelegt. Wer dem Hersteller bis zum 31. Dezember dieses Jahres ein neues Sicherheitsleck im Bereich Speculative Execution meldet, kann mit einer Belohnung in Höhe von 250.000 Dollar rechnen.

Sollte ein Forscher oder eine andere Person in der Lage sein, bestehende Sicherheitsmechanismen in einem vollständig gepatchten Microsoft Windows umgehen können und dabei auf Informationen in dem Betriebssystem zugreifen können, bezahlt Microsoft die Rekordsumme von 250.000 Dollar. Allerdings nur wenn es sich wie gesagt um ein Speculative-Execution-Leck handelt. Microsoft hat offenbar mit diesem Programm aus guten Grund bis zum März-Patchday gewartet, weil der Anbieter hier noch einmal weitere Patches für die genannten Lecks integriert hat.

Wenn ein „Hacker“ in der Lage ist, auf Azure in der Lage ist, die Memory auszulesen, die nicht der virtuellen Maschine zugewiesen ist, in der sich der Angreifer aufhält, bezahlt Microsoft bis zu 200.000 Dollar. Voraussetzung ist natürlich, dass Azure auf aktuellstem Stand ist.

Diese neue Klasse betrifft jedoch ausschließlich die Fehlerkategorie, in die auch die im Januar bekannt gewordenen Fehler Meltdown und Spectre hineinfallen, die durch ein spezielles Design der Chips und der Microcodes möglich wurden.

„Mit dieser geänderten Bedrohungslag, starten wir ein Bounty-Programm, um die Forschungsaktivitäten speziell in dieser neuen Klasse von Verwundbarkeiten und den Schutzmechanismen, die Microsoft eingeführt hat, zu fördern“, so Microsoft in einem Blog zu dem neuen Programm.

Insgesamt ist das Sonderprogramm in vier Tiers aufgeteilt. Für einen Forscher, der in der Lage ist, die Sicherheitsmechanismen zu umgehen, die Microsoft gegen die genannten Fehler entwickelt hat, gibt es daher ebenfalls bis zu 200.000 Dollar. Für eine Instanz eines bekannten Fehlers, etwa für CVE-2017-5753 in Windows 10 oder dem Browser Edge bezahlt Microsoft bis zu 25.000 Dollar, wenn der „Angreifer“ in der Lage ist, sensible und geschützte Informationen aus dem System auszulesen.

„Speculative Executions ist tatsächlich eine neue Klasse von Verwundbarkeiten, und wir erwarten, dass bereits verschiedene neue Forschungen auf dem Weg sind, neue Angriffsmethoden dafür zu entwickeln“, kommentiert Phillip Minser, von Microsofts Security Response Centre in einem Blog.

Vor einigen Wochen hatte Intel ein ähnliches Programm aufgelegt. Die Ausgelobten Summen sind auch mit denen von Microsoft vergleichbar. Beide Programme haben zum Ziel, solche weitreichenden Sicherheitslecks möglichst schnell zu erkennen und diese branchenweit koordiniert anzugehen. In einem eigenen weiteren Blog hat das Sicherheits-Team von Microsoft die Informationen zusammengetragen, die bereits über diese neue Kategorie von Sicherheitslecks bekannt sind.